HALLINTOVALIOKUNNAN LAUSUNTO 5/2013 vp

HaVL 5/2013 vp - U 13/2013 vp

Tarkistettu versio 2.0

Valtioneuvoston kirjelmä Euroopan parlamentin ja neuvoston direktiiviksi verkko- ja tietoturvallisuuden korkean tason varmistamiseksi Euroopan unionin alueella

Suurelle valiokunnalle

JOHDANTO

Vireilletulo

Eduskunnan puhemies on 22 päivänä maaliskuuta 2013 lähettänyt valtioneuvoston kirjelmän Euroopan parlamentin ja neuvoston direktiiviksi verkko- ja tietoturvallisuuden korkean tason varmistamiseksi Euroopan unionin alueella (U 13/2013 vp) käsiteltäväksi suureen valiokuntaan ja samalla määrännyt, että hallintovaliokunnan on annettava asiasta lausuntonsa suurelle valiokunnalle.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

tietoturvallisuusasiantuntija Aku Hilve, valtiovarainministeriö

neuvotteleva virkamies Timo Kievari, liikenne- ja viestintäministeriö

riskiasiantuntija Anne Nisén, Finanssivalvonta

apulaisjohtaja Erka Koivunen, Viestintävirasto, CERT-FI

erityisasiantuntija Simo Tanner, Suomen Kuntaliitto

asiantuntija Veijo Turunen, Elinkeinoelämän keskusliitto EK ry

Lisäksi kirjallisen lausunnon ovat antaneet

  • oikeusministeriö
  • sisäasiainministeriö
  • tietosuojavaltuutettu Reijo Aarnio
  • Terveyden ja hyvinvoinnin laitos
  • Finanssialan Keskusliitto FK ry.

VALTIONEUVOSTON KIRJELMÄ

Ehdotus

Euroopan komissio antoi 7 päivänä helmikuuta 2013 ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi verkko- ja tietoturvallisuuden korkean tason varmistamiseksi Euroopan unionin alueella (jäljempänä tietoturvadirektiivi).

Direktiiviehdotuksella jäsenvaltiot velvoitettaisiin ensinnäkin laatimaan verkko- ja tietoturvastrategia sekä nimeämään kansallinen toimivaltainen viranomainen, jolla on riittävät taloudelliset ja henkilöstöresurssit turvariskien ja -poikkeamien ennaltaehkäisyä ja käsittelyä sekä niihin reagoimista varten.

Toiseksi direktiivillä luotaisiin jäsenvaltioiden ja komission välinen yhteistyömekanismi, jonka keinoin voitaisiin vaihtaa ennakkovaroituksia tietoturvariskeistä ja -poikkeamista, tehdä yhteistyötä niiden ratkaisemisessa ja järjestää säännöllisiä vertaisarviointeja sekä harjoituksia.

Kolmanneksi direktiivi velvoittaisi eräiden yhteiskunnan keskeisten alojen (rahoituspalvelut, liikenne, energia, terveys) kriittisten infrastruktuurien ylläpitäjät sekä keskeisimmät tietoyhteiskunnan palvelun tarjoajat ja julkishallinnot ottamaan käyttöön riskinhallintakäytänteitä ja raportoimaan ylläpitämiinsä keskeisiin palveluihin kohdistuvista merkittävistä tietoturvapoikkeamista.

Valtioneuvoston kanta

Valtioneuvosto kannattaa komission ehdotuksen tavoitetta verkko- ja tietoturvallisuuden korkean tason turvaamiseksi Euroopan unionissa ja sen jäsenmaissa. Valtioneuvosto osallistuu hallitusohjelman mukaisesti aktiivisesti tietoverkkoturvallisuutta koskevaan kansainväliseen yhteistyöhön, ja valtioneuvosto kannattaa sellaisia toimenpiteitä, jotka kannustaisivat kaikki jäsenvaltiot laatimaan strategiset tavoitteensa ja toimimaan yhteistyössä korkean tietoturvallisuuden ylläpitämiseksi ja tietoturvaloukkausten haitallisten vaikutusten torjumiseksi.

Tieto- ja viestintäteknologioista sekä niihin perustuvista tietojärjestelmistä ja palveluista tulee yhteiskunnan toiminnan kannalta yhä välttämättömämpiä. Niihin kohdistuvien uhkien rajat ylittävästä luonteesta johtuen Euroopan unionin jäsenmaiden välistä yhteistyötä tulee tiivistää ja kehittää edelleen.

Valtioneuvosto pitää perusteltuna, että kaikki jäsenvaltiot velvoitettaisiin määrittämään viranomaisvastuunsa ja perustamaan kansallisena tietotekniikan kriisiryhmänä toimiva CERT-ryhmä. Viranomaisten välisen keskinäisen yhteistyön kehittämiselle on syytä luoda edellytyksiä tavalla, jossa eri viranomaisten lakisääteiset tehtävät ja vastuut säilyvät selkeinä.

Valtioneuvosto katsoo, että tietoturvallisuutta koskevan läpinäkyvyyden lisäämiseksi ja paremman tilannetietoisuuden muodostamiseksi on tärkeää kerätä ja jakaa tietoa sellaisista tietoturvaloukkauksista sekä niiden haitallisista vaikutuksista, jotka vaarantavat yhteiskunnan häiriötöntä toimivuutta. Tällaisesta sääntelystä on hyviä kokemuksia sähköisen viestinnän toimialalla, jonka keskeisimmät toimijat on lainsäädännössä velvoitettu ilmoittamaan tietoturvaloukkauksista ja häiriöistä luottamusta ja puolueettomuutta nauttivalle kansallisena tietoturvaviranomaisena toimivalle Viestintävirastolle. Näitä kokemuksia tulisi mahdollisuuksien mukaan hyödyntää myös muilla yhteiskunnan toimivuuden kannalta keskeisillä toimialoilla, joiden toiminta on riippuvaista sähköisistä tieto- ja viestintäpalveluista ja niiden häiriöttömyydestä. Samalla on kuitenkin huolehdittava siitä, ettei Suomessa hyvin toimivan tietoturvayhteistyön edellytyksenä olevaa yritysten ja viranomaisten välistä keskinäistä luottamusta vaaranneta tarpeettomasti eikä menettelyillä lisätä kenenkään hallinnollista taakkaa kohtuuttomasti.

Valtioneuvosto pitää tärkeänä, että kukin yhteiskunnan toimija kantaa itse vastuunsa omien tietojärjestelmiensä häiriöttömästä ja turvallisesta käytöstä. Tiedon suojaamisen tarpeet ja tietoturvaloukkausten haitalliset vaikutukset yhteiskunnassa vaihtelevat huomattavasti eri yrityksissä, toimialoilla ja eri jäsenvaltioissa. Sen vuoksi on tärkeää, että kansallisilla viranomaisilla säilyy tarkoituksenmukainen liikkumavara määrittää, millaisen ilmoituskynnyksen ylittävistä tapahtumista yritysten ja hallinnon tulisi ilmoittaa viranomaisille. Kansallisilla viranomaisilla tulisi säilyttää tarkoituksenmukainen määrä harkintavaltaa rajat ylittävän tiedonvaihdon ja muiden tietoturvaan liittyvien toimenpiteiden osalta.

Valtioneuvosto pitää sisämarkkinoiden toimivuutta tärkeänä tavoitteena ja katsoo, että yhtenäinen eurooppalainen sääntely olisi omiaan edistämään luotettavien digitaalisten palvelujen ja sisämarkkinoiden kehittymistä EU:n alueella. Direktiivissä määriteltyjen toimialojen markkinat sekä julkishallinto ovat kuitenkin monilta osiltaan kansallisia, minkä vuoksi on tärkeää, että direktiiveissä otetaan riittävässä määrin huomioon kansallisten markkinoiden ja julkishallinnon erilaiset etenemisnopeudet ja sääntelytarpeet. Liian pitkälle viedystä harmonisoinnista voisi tulla kehityksen jarru, mikä ei edesauttaisi EU:n päämääriksi Lissabonin sopimuksessa julkilausuttujen tavoitteiden saavuttamisessa. Valtioneuvosto katsookin, että direktiivissä tulisi löytää tasapaino, joka mahdollistaa riittävän kansallisen liikkumavaran.

Valtioneuvosto katsoo myös, että komissiolle delegoitavien toimivaltuuksien tulisi olla tarkkarajaisia, oikeasuhtaisia, välttämättömiä ja hyvin perusteltuja.

VALIOKUNNAN KANNANOTOT

Perustelut

Komission ehdotus tietoturvadirektiiviksi on keskeinen osa helmikuussa 2013 annetun Euroopan unionin kyberstrategian (E 16/2013 vp) toimeenpanoa. Valiokunta kannattaa direktiivin tavoitetta turvata verkko- ja tietoturvallisuuden korkea taso EU:ssa ja sen jäsenmaissa. Tieto- ja viestintäteknologiat ja niihin perustuvat tietojärjestelmät ja palvelut ovat yhteiskunnan toiminnan ja sisämarkkinoiden kehittymisen kannalta yhä keskeisemmässä roolissa, ja on tärkeää, että verkko- ja tietoturvallisuuden korkea taso ja yhteiskunnan kannalta kriittisten palveluiden saatavuus pystytään turvaamaan niin normaalioloissa kuin häiriötilanteissakin.

Valiokunta tukee sitä, että Suomi toimii aktiivisesti verkko- ja tietoturvallisuuden kehittämisessä ja tietoverkkorikollisuuden torjunnassa myös EU:n piirissä. Tietoverkkoihin kohdistuvat uhkat ovat valtioiden rajat ylittäviä ja nopeasti muuttuvia, minkä vuoksi tarvitaan laaja-alaista yhteistyötä sekä kansallisesti että kansainvälisesti. Suomella on pitkä luottamukseen perustuvan yhteistyön perinne sekä julkishallinnon sisällä että julkisen ja yksityisen sektorin välillä. Suomalaista yhteistyömallia arvostetaan myös kansainvälisesti. Valiokunta katsoo, että julkisen ja yksityisen sektorin aidon ja tiiviin yhteistyön merkitystä on syytä korostaa myös tietoturvadirektiivin yhteydessä.

Valiokunta tähdentää valtioneuvoston tavoin kunkin toimijan vastuuta omien tietojärjestelmiensä häiriöttömästä ja turvallisesta käytöstä sekä osuutta paremman tilannetietoisuuden muodostamisessa. Tiedon suojaamisen tarpeet ja tietoturvaloukkausten riskit ja haitalliset vaikutukset vaihtelevat eri yrityksissä, toimialoilla ja eri jäsenvaltioissa. Myös julkishallinnon sääntelytarpeet vaihtelevat. Valiokunta yhtyy kirjelmässä esitettyihin kannanottoihin riittävän ja tarkoituksenmukaisen kansallisen liikkumavaran tarpeesta direktiivissä. Valiokunta korostaa toissijaisuus- ja suhteellisuusperiaatteen noudattamista ja pitää tärkeänä, että komissiolle mahdollisesti delegoitavat toimivaltuudet ovat tarkkarajaisia, oikeasuhtaisia, välttämättömiä ja hyvin perusteltuja.

Direktiivillä velvoitettaisiin eräiden keskeisten alojen kriittisen infrastruktuurin ylläpitäjät sekä keskeisimmät tietoyhteiskunnan palvelun tarjoajat ja julkishallinnot toteuttamaan direktiivissä tai sen nojalla määrätyt tietoturvan vähimmäisvaatimukset sekä ilmoittamaan merkittävistä tietoturvapoikkeamista. Direktiivi edellyttäisi ehdotetussa muodossaan muutoksia kansalliseen lainsäädäntöön. Ehdotuksesta voi aiheutua myös taloudellisia kustannuksia. Kirjelmän mukaan taloudelliset vaikutukset riippuvat direktiivin kansallisessa voimaanpanossa ratkaistavien turvallisuusvaatimusten laadusta ja toisaalta komissiolle ilmoituskynnyksen määrittämiseksi delegoitavan toimivallan käytön laajuudesta ja laadusta. Valiokunta korostaa taloudellisten vaikutusten arvioinnin ja huomioon ottamisen tärkeyttä ja sitä, että menettelyillä ei saa lisätä kohtuuttomasti toimijoiden hallinnollista taakkaa. Valiokunta toteaa lisäksi, että kansallisesti ja EU:n tasolla on myös muita tietoturvaan ja tietosuojaan liittyviä strategioita ja säädöshankkeita, esimerkiksi EU:n tietosuoja-asetus. Niiden ja tietoturvadirektiivin yhteensovittamiseen tulee kiinnittää erityistä huomiota päällekkäisyyksien ja hallinnollisen taakan kasvun välttämiseksi.

Lausunto

Lausuntonaan hallintovaliokunta ilmoittaa,

että se yhtyy asiassa valtioneuvoston kantaan korostaen edellä esitettyjä näkökohtia.

Helsingissä 21 päivänä toukokuuta 2013

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Pirkko Mattila /ps
  • vpj. Maarit Feldt-Ranta /sd
  • jäs. Heikki Autto /kok
  • Jussi Halla-aho /ps
  • Rakel Hiltunen /sd
  • Reijo Hongisto /ps
  • Risto Kalliorinne /vas
  • Mika Kari /sd
  • Elsi Katainen /kesk
  • Timo V. Korhonen /kesk
  • Antti Lindtman /sd
  • Markus Lohi /kesk
  • Outi Mäkelä /kok
  • Tapani Mäkinen /kok
  • Markku Mäntymaa /kok

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Minna-Liisa Rinne